V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lyc8503
V2EX  ›  程序员

开源服务是自建安全还是使用官方维护的安全?

  •  
  •   lyc8503 · 2023-03-31 18:24:56 +08:00 · 3045 次点击
    这是一个创建于 614 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如 Bitwarden 可以自建, 也可以直接在官网注册账号使用.
    Tailscale 有第三方实现的开源服务端 Headscale.
    Forward Email 官方也开源了可以自己部署的服务端.

    这些服务如果自建的话好处就是数据全在自己手里, 不怕官方作恶, 而且目标比较小, 相对不容易被攻击. 但如果服务器被攻击, 敏感数据还是有泄漏的可能. 我现在 Bitwarden 就是 GCP 上单独的一台 VPS 在运行.

    如果使用官方提供的服务的话好处是更新和维护及时, 且会有专业的人员进行安全审计.

    比如我看 Tailscale 发布的安全公告 https://tailscale.com/security-bulletins/ , 每次出现的漏洞修补后都详细说明了受影响的范围, 且会邮件通知受影响的用户. 而开源的 Headscale 实现可能就没有这么详细的安全审查, 而且我作为用户也不可能时刻关注着每一个服务的版本更新和漏洞修复, 只能每过一段时间更新一次, 甚至可能发现不了比较隐蔽的攻击.
    20 条回复    2023-04-01 19:35:13 +08:00
    docx
        1
    docx  
       2023-03-31 18:41:39 +08:00 via iPhone
    见仁见智,我觉得专业人士运维更加放心省事
    jimmy980352
        2
    jimmy980352  
       2023-03-31 18:45:09 +08:00
    我喜欢自建,就是为了折腾
    defunct9
        3
    defunct9  
       2023-03-31 18:45:51 +08:00   ❤️ 1
    我是专业的运维,所以我自建
    sadfQED2
        4
    sadfQED2  
       2023-03-31 18:48:53 +08:00 via Android
    我是半罐水运维,为了尽早追上楼上的专业运维,所以我也自建
    yuhangch
        5
    yuhangch  
       2023-03-31 18:49:35 +08:00
    我觉得就是一个取舍的问题,没有绝对的谁比谁更安全:
    理论上,自己的服务器,自己加密压缩一下,同步到各个云,是最安全的,但你又不能保证自己的服务器是绝对的安全,有人进来一切都免谈了。。。官方服务技术上肯定没问题,第三方攻破的概率小,但自己的密码是明文暴露给他们的,说不好哪天有个技术人员把库给漏了。
    shijingshijing
        6
    shijingshijing  
       2023-03-31 19:02:26 +08:00   ❤️ 6
    自建太麻烦了,白嫖官方的,出了问题大不了叫三楼的远程帮你看一下。
    lyc8503
        7
    lyc8503  
    OP
       2023-03-31 19:43:14 +08:00   ❤️ 1
    @docx @jimmy980352 @defunct9
    @sadfQED2 自己应该算半桶水运维, 本来一直是自建, 可是看到这些官方团队的漏洞响应速度感觉确实比不上.
    https://emily.id.au/tailscale#timeline-and-vendor-response

    @yuhangch Bitwarden 如果用浏览器插件或者 PC 客户端的话, 自己的密码离开机器的时候就已经是用主密码加密过的了, 只要主密码足够强理论上已经很难解开了.
    sadfQED2
        8
    sadfQED2  
       2023-03-31 20:33:19 +08:00 via Android
    @lyc8503 我都是默认这些项目一定有漏洞,一定有后门。所以所有服务不暴露到公网,也禁止服务访问公网。
    ltkun
        9
    ltkun  
       2023-03-31 20:33:37 +08:00 via Android
    自建 vpn 才能访问 安全的很
    smilenceX
        10
    smilenceX  
       2023-03-31 20:36:10 +08:00
    梯子自己建,因为完全掌握在自己手里,所以更放心,就算偶尔(其实是经常)挂了,也没什么大不了的损失。
    至于 bitwarden,我是付费用户。
    jeesk
        11
    jeesk  
       2023-03-31 20:49:32 +08:00
    对安全敏感还是自建好点。 不过你需要定期维护升级, 也是麻烦事。
    jeesk
        12
    jeesk  
       2023-03-31 20:50:14 +08:00
    也可以参考楼上的直接使用的组网工具,保证地址无法公网访问即可。
    ronman
        13
    ronman  
       2023-03-31 21:02:20 +08:00   ❤️ 1
    bitwarden 在你主密钥安全且不泄露的情况下,服务器都是加密存储的,丢了也无所谓吧
    lyc8503
        14
    lyc8503  
    OP
       2023-03-31 21:05:53 +08:00
    @sadfQED2 @ltkun 嗯, 我的大部分服务都是部署在内网的, 使用 Tailscale 访问, 但 Headscale 作为组网工具本身必须要公网. 内网确实能很大减小攻击面.

    @jeesk 是的, 自己维护的成本比较大, 上面我举例的就是个 Tailscale 客户端 RCE 漏洞, 因为没有订阅相关安全报告没有及时更新... (虽然也没有明显证据这个漏洞被利用了)
    jeesk
        15
    jeesk  
       2023-03-31 21:12:01 +08:00
    @ronman 原理上是可以做到类似于 mega 网盘的加密的。 如果 bitwarden 也是这种原理,我觉得 ok
    adoal
        16
    adoal  
       2023-03-31 21:38:56 +08:00
    自建的 privacy 高,官方的 avalability 高。
    stabc
        17
    stabc  
       2023-03-31 21:41:37 +08:00
    要看你自己的时间精贵还是钱精贵
    placeholder
        18
    placeholder  
       2023-04-01 03:25:00 +08:00
    注册个公司,招些 IT ,然后给你自建,建大了你这个自建的还能卖,公司都是你的,作不作恶你来说
    echoyangjx
        19
    echoyangjx  
       2023-04-01 11:23:09 +08:00
    amrice
        20
    amrice  
       2023-04-01 19:35:13 +08:00 via Android
    我是菜鸡运维,为了跟大佬们保持一致的步伐,我也选择自建
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5872 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 01:48 · PVG 09:48 · LAX 17:48 · JFK 20:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.